CertiK Admits Kraken’s $3m Exploit, Raises Eyebrows for Sending Crypto to Tornado Cash

CryptoNews · 2024-06-20T08:33:04.000Z

Blockchain security firm CertiK confirmed it was behind a bug exploit that resulted in an unauthorized withdrawal of $3 million worth of tokens from Kraken. New York-headquartered blockchain security firm CertiK has admitted to being behind a bug exploit that resulted in an unauthorized withdrawal of $3 million worth of tokens from the Kraken crypto exchange. In a Jun. 19 thread on X, CertiK revealed that it had identified a series of “critical vulnerabilities” in Kraken’s exchange that could “potentially lead to hundreds of millions of dollars in losses.” CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD — CertiK (@CertiK) June 19, 2024 According to CertiK, the issue was first identified on Jun. 5, and Kraken failed multiple tests, indicating that the exchange’s defense-in-depth system was “compromised on multiple fronts.” The firm particularly noted that it managed to bypass the exchange’s withdrawal risk controls without triggering any alerts. “A huge amount of fabricated crypto (worth more than 1M+ USD) can be withdrawn from the account and converted into valid cryptos. Worse yet, no alerts were triggered during the multi-day testing period. Kraken only responded and locked the test accounts days after we officially reported the incident.” CertiK You might also like: Kraken chief security reveals UX change resulted in $3m bug exploit Upon discovering the flaws, CertiK claims it informed Kraken, whose security team classified the issue as “critical.” However, after the exploit was identified and fixed, CertiK alleges that Kraken’s security operations team “threatened” individual CertiK employees, demanding repayment of a “mismatched amount of crypto in an unreasonable time even without providing repayment addresses.” CertiK urged Kraken to “cease any threats against whitehat hackers,” asserting its commitment to the web3 community “in the spirit of transparency.” However, the incident has sparked controversy and skepticism within the blockchain community as blockchain researchers have highlighted discrepancies in CertiK’s timeline and claims. HAHAHHA YOU FUCKING CLOWNSThere is absolutely NO universe where this is "whitehat security research"Kraken is being incredibly patient for not outright calling this what it very clearly is: a multimillion dollar theft with a side of extortion. — Tay 💖 (@tayvano_) June 19, 2024 As noted Cyvers chief technology officer Meir Dolev on his X account, an address associated with CertiK began suspicious activity across multiple blockchain networks weeks before the Kraken incident was first reported, raising questions about the timeline provided by CertiK. Following the @krakenfx Incident, similar activity started on base 26 days ago!! The same signature hash is also used on Polygon 14 days ago. So should we believe Cetik timeline that they found the vulnerability only on June 5th?@tayvano_ pic.twitter.com/cvAnVrTg67 — Meir Dolev (@Meir_Dv) June 19, 2024 In a follow-up post under CertiK’s thread, Coinbase director Conor Grogan pointed out that addresses associated with CertiK sent part of the withdrawn crypto to Tornado Cash, a mixing service sanctioned by the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) for facilitating approximately $7 billion in crypto laundering since 2019. Reports also allege that CertiK-associated addresses sent parts of the withdrawn crypto to ChangeNOW, a non-custodial crypto exchange. As of press time, CertiK has made no public statements on why it interacted with Tornado Cash and ChangeNOW, though it claims to have returned all the withdrawn tokens to Kraken. Read more: Telegram refutes CertiK’s auto-download security risk claim

Công ty bảo mật chuỗi khối CertiK xác nhận họ đứng đằng sau việc khai thác lỗi dẫn đến việc rút trái phép số token trị giá 3 triệu đô la từ Kraken.
Công ty bảo mật blockchain có trụ sở tại New York, CertiK đã thừa nhận đứng sau một vụ khai thác lỗi dẫn đến việc rút trái phép số token trị giá 3 triệu đô la từ sàn giao dịch tiền điện tử Kraken.
Trong một chủ đề ngày 19 tháng 6 trên X, CertiK tiết lộ rằng họ đã xác định được một loạt “lỗ hổng nghiêm trọng” trong sàn giao dịch Kraken có thể “có khả năng dẫn đến tổn thất hàng trăm triệu đô la”.
CertiK gần đây đã xác định một loạt lỗ hổng nghiêm trọng trong sàn giao dịch @krakenfx có khả năng dẫn đến thua lỗ hàng trăm triệu đô la. Bắt đầu từ một phát hiện trong hệ thống tiền gửi của @krakenfx, nơi nó có thể không phân biệt được giữa các nội bộ khác nhau… pic.twitter.com/ JZkMXj2ZCD
- Chứng nhận (@CertiK) Ngày 19 tháng 6 năm 2024
Theo CertiK, vấn đề này được xác định lần đầu tiên vào ngày 5 tháng 6 và Kraken đã thất bại trong nhiều thử nghiệm, cho thấy hệ thống phòng thủ chuyên sâu của sàn giao dịch đã “bị xâm phạm trên nhiều mặt trận”. Công ty đặc biệt lưu ý rằng họ đã vượt qua được các biện pháp kiểm soát rủi ro rút tiền của sàn giao dịch mà không kích hoạt bất kỳ cảnh báo nào.
“Một lượng lớn tiền điện tử giả (trị giá hơn 1 triệu USD) có thể được rút khỏi tài khoản và chuyển đổi thành tiền điện tử hợp lệ. Tệ hơn nữa, không có cảnh báo nào được kích hoạt trong thời gian thử nghiệm kéo dài nhiều ngày. Kraken chỉ phản hồi và khóa tài khoản thử nghiệm vài ngày sau khi chúng tôi chính thức báo cáo vụ việc.”
Chứng nhận
Bạn cũng có thể thích: Giám đốc bảo mật của Kraken tiết lộ thay đổi UX dẫn đến việc khai thác lỗi trị giá 3 triệu USD
Khi phát hiện ra lỗ hổng, CertiK tuyên bố họ đã thông báo cho Kraken, nhóm bảo mật của họ đã phân loại vấn đề này là “nghiêm trọng”. Tuy nhiên, sau khi xác định và khắc phục lỗi khai thác, CertiK cáo buộc rằng nhóm hoạt động bảo mật của Kraken đã “đe dọa” từng nhân viên của CertiK, yêu cầu hoàn trả “số lượng tiền điện tử không khớp trong thời gian không hợp lý ngay cả khi không cung cấp địa chỉ trả nợ”.
CertiK kêu gọi Kraken “chấm dứt mọi mối đe dọa chống lại tin tặc mũ trắng”, khẳng định cam kết của mình với cộng đồng web3 “trên tinh thần minh bạch”. Tuy nhiên, vụ việc đã gây ra tranh cãi và hoài nghi trong cộng đồng blockchain khi các nhà nghiên cứu blockchain đã nhấn mạnh sự khác biệt trong dòng thời gian và tuyên bố của CertiK.
HAHAHHA BẠN CHỒNG CHẾT Hoàn toàn KHÔNG có vũ trụ nào nơi đây là "nghiên cứu bảo mật mũ trắng"Kraken đang cực kỳ kiên nhẫn vì đã không gọi thẳng ra đây là gì: một vụ trộm hàng triệu đô la với một mặt là tống tiền.
— Tay 💖 (@tayvano_) Ngày 19 tháng 6 năm 2024
Như giám đốc công nghệ của Cyvers, Meir Dolev đã lưu ý trên tài khoản X của mình, một địa chỉ được liên kết với CertiK đã bắt đầu hoạt động đáng ngờ trên nhiều mạng blockchain vài tuần trước khi sự cố Kraken được báo cáo lần đầu tiên, đặt ra câu hỏi về dòng thời gian do CertiK cung cấp.
Sau Sự cố @krakenfx, hoạt động tương tự đã bắt đầu trên cơ sở 26 ngày trước!! Hàm băm chữ ký tương tự cũng được sử dụng trên Polygon 14 ngày trước. Vậy chúng ta có nên tin vào dòng thời gian của Cetik rằng họ chỉ tìm thấy lỗ hổng vào ngày 5 tháng 6 không?@tayvano_ pic.twitter.com/cvAnVrTg67
– Meir Dolev (@Meir_Dv) Ngày 19 tháng 6 năm 2024
Trong một bài đăng tiếp theo trong chủ đề của CertiK, giám đốc Coinbase Conor Grogan đã chỉ ra rằng các địa chỉ được liên kết với CertiK đã gửi một phần tiền điện tử được rút tới Tornado Cash, một dịch vụ trộn được Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ xử phạt. vì đã tạo điều kiện cho hoạt động rửa tiền điện tử trị giá khoảng 7 tỷ USD kể từ năm 2019.
Các báo cáo cũng cáo buộc rằng các địa chỉ liên quan đến CertiK đã gửi một phần tiền điện tử đã rút tới ChangeNOW, một sàn giao dịch tiền điện tử không giám sát. Tính đến thời điểm viết bài, CertiK chưa đưa ra tuyên bố công khai nào về lý do tại sao nó tương tác với Tornado Cash và ChangeNOW, mặc dù họ tuyên bố đã trả lại tất cả số token đã rút cho Kraken.
Đọc thêm: Telegram bác bỏ tuyên bố về rủi ro bảo mật tự động tải xuống của CertiK

CertiK thừa nhận hành vi khai thác trị giá 3 triệu đô la của Kraken, gây chú ý vì đã gửi tiền điện tử tới Tornado Cash

Khám phá thêm từ Nhà sáng tạo nội dung

Tin tức mới nhất

CertiK thừa nhận hành vi khai thác trị giá 3 triệu đô la của Kraken, gây chú ý vì đã gửi tiền điện tử tới Tornado Cash

Khám phá thêm từ Nhà sáng tạo nội dung

Tin tức mới nhất

Bài viết thịnh hành